ГОСТ Р ИСО/МЭК 27006-2020 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности
7.2 Персонал, участвующий в деятельности по сертификации
Применяют требования ИСО/МЭК 17021-1, подраздел 7.2. Кроме того, применяют следующие требования и руководящие указания, дополняющие требования ИСО/МЭК 17021-1 в части сертификации СМИБ.
7.2.1 ИБ 7.2 Демонстрация знаний и опыта аудитора
Орган по сертификации должен продемонстрировать наличие у аудиторов знаний и опыта посредством:
a) признанных квалификаций, относящихся к СМИБ;
b) регистрации (сертификации) их в качестве аудиторов, где это применимо;
c) участия в учебных курсах СМИБ и получения соответствующих подтверждающих документов;
d) ведения записей о повышении уровня профессиональной квалификации;
e) участия в аудитах СМИБ, засвидетельствованных другим аудитором СМИБ.
7.2.1.1 Выбор аудиторов
В дополнение к положениям 7.1.2.1 критерии отбора аудиторов должны гарантировать, что каждый аудитор:
a) имеет профессиональное образование или прошел подготовку до уровня, эквивалентного высшему образованию;
b) имеет не менее четырех лет опыта практической работы в штатной должности в области информационной технологии, из которых не менее двух лет в роли или функции, относящейся к информационной безопасности;
c) успешно прошел по крайней мере пять дней обучения, объем которого охватывает аудиты СМИБ и управление аудитом;
d) приобрел опыт аудита СМИБ, прежде чем выступать в качестве аудитора в аудите СМИБ. Указанный опыт должен быть приобретен путем проведения в качестве обучающегося аудитора под наблюдением оценщика СМИБ (см. ИСО/МЭК 17021-1:2015, подпункт 9.2.2.1.4) по меньшей мере одного первоначального сертификационного аудита СМИБ (первого и второго этапов) или аудита по ресертификации и как минимум одного инспекционного контроля. Этот опыт должен быть приобретен не менее чем в течение 10 дней проведения аудита СМИБ на месте и выполнен в течение последних 5 лет. Участие должно включать в себя анализ документации и оценку рисков, оценку внедрения и аудиторскую отчетность; |
(Amd.1:2020)
e) имеет соответствующий опыт практической работы;
f) постоянно актуализирует свои знания и навыки в области информационной безопасности и проведении аудитов посредством непрерывного профессионального развития;
g) обладает компетенцией в области аудита СМИБ в соответствии с ИСО/МЭК 27001. |
(Amd.1:2020)
Технические эксперты должны отвечать требованиям критериев, приведенных в перечислениях a), b) и e).
7.2.1.2 Выбор аудиторов на роль руководителя группы
В дополнение к положениям 7.1.2.2 и 7.2.1.1 критерии отбора аудитора на роль руководителя аудиторской группы должны гарантировать, что аудитор:
а) активно принимал участие на всех этапах не менее трех аудитов СМИБ. Участие должно включать в себя первоначальную оценку и планирование, анализ документации и оценку рисков, оценку практического внедрения и официальную отчетность по проведенному аудиту.